首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

国密Keyless无私钥驻留

关键词:国密 Keyless 无私钥驻留

概念

国密(GM/T 0002-2012)是一套中国自主研发的安全协议,用于保护在网络上传输的数据不被篡改。它基于传统的PKI(公开密钥基础设施)体系,增加了一个私钥的产生和共享机制,提高了系统的安全性和灵活性。

  • 私钥:用于加密和解密数据的密钥,只由持有人掌握。
  • 无私钥驻留:国密协议中,服务器不保留私钥,私钥不在服务器端,保证私钥的安全。

优势

  • 安全性:国密算法具有较高的安全性,同时公私钥对的安全传输,可以有效避免密钥泄露的问题。
  • 灵活性:通过增加私钥产生和共享机制,国密协议可以在不同的应用场景下灵活改变安全策略。
  • 可用性:国密协议已经被广泛应用于各个行业,得到了广泛的认可和实践。

类型

国密 Keyless 无私钥驻留分为服务器和客户端两部分。服务器端不保留私钥,仅保留公钥,私钥存储在客户端。

应用场景

  • 身份认证:用于保护用户身份及访问数据的安全。
  • 数据加密:对数据进行加密以提高数据在传输过程中的安全性。
  • 数据签名:对数据进行签名以确保数据的完整性。
  • 通信安全:保证网络通信的私密性、数据完整性、防假冒。
  • 系统完整性:保证系统的完整性,防止攻击者通过篡改网络数据对系统进行攻击。

问题解答

  • 为什么 Server 不需要存储私钥?

国密 Keyless 无私钥驻留通过国密协议实现了私钥的安全传输,服务器只需要保存与私钥相关的信息如公钥和加密密钥,而不需要本地存储私钥。这降低了服务器受到中间人攻击或内部员工泄露的风险。

  • 私钥驻留在客户端会有什么风险?怎么保证客户端的私钥数据安全?

在保证私钥数据安全的方面国密 Keyless 无私钥驻留有以下的措施:

  1. 数据加密:客户端在存储私钥时使用国密加密算法进行加密。
  2. 数字签名:在验证私钥的使用者身份时,国密协议引入了数字签名的机制,以检查私钥是否正确授权给使用者。
  3. 访问控制:私钥可以通过操作系统的权限管理模式来限制访问权限,确保只有合法用户能够访问私钥。
  4. 安全传输:私钥的传输采用国密协议进行安全传输,防止中间人攻击和物理设备窃取。
  5. 软件防护:客户端的操作系统、浏览器或者应用程序需要安装有对应国密算法软件,以支持数据加密和解密。

当以上措施都得到有效实施后,私钥驻留在客户端的风险就可以得到有效控制。但还需时刻注意系统安全,及时更新系统和软件,防范未知风险。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

nginx实现keyless解决方案

简介 当企业把业务迁移到云WAF/CDN边缘节点上,需向云厂商提供业务的私钥安全性不能得到保证,且若业务私钥证书发生变化或频繁修改需要受限于人。...keyless源于clouldflare,采用keyless方案私钥部署在客户自己的服务器,无需向把业务私钥部署在云/CDN边缘节点上。...是一种新标准的对称密码算法,已取代DES 分组长度128比特,密钥长度128、192、256三种规格 分组密码模式 : ECB(Electronic CodeBook):将明文分组加密之后的结果将直接成为文分组...CBC(Cipher Block Chaining):文分组链接的模式 CFB(Cipher FeedBack):文反馈模式 OFB(Output-Feedback):输入反馈模式 CTR(CounTeR...ServerKeyExchange 基于DH的keyless的完整握手 工作在:Server端的ServerKeyExchange阶段 开源项目做了什么 keyless server安装和配置 存储给定的私钥

1.9K00

一篇文章带你看懂 Cloudflare 信息泄露事件

密钥加载)架构 对证书稍微熟悉的朋友都知道,SSL 密钥和证书都是成对使用的,一个证书一定唯一对应一个私钥。...秘钥方式虽然腾讯云的内网非常安全,但是出于对客户的安全负责,彻底打消用户对私钥泄露的顾 虑,确保用户对私钥的绝对控制,腾讯云提供一种无私钥的加载方案。...在涉及到私钥计算的时候,腾讯云 CLB 会将这个私钥计算请求通过加密的自定义协议,转发给用户自己的 keyless 服务器上。 3. keyless 服务调用用户的私钥完成计算。...整个过程,腾讯云接触不到 HTTPS 私钥,需要注意一点的,keyless server 是腾讯云提供一个服务端程序,代码开源,用户自主部署,服务端行为用户掌握得一清二楚。...总结来说Keyless密钥加载)架构可以更好的实现用户的私钥安全性,但是会对于开发者而言增加一次网络交互,一般来说100-200ms的网络延时,除非是对于安全性有非常高要求的应用,才会考虑这一方式,

3.5K00
  • HTTPS 协议深度解析,为什么小程序开发者需要关注

    2、内容加密—防窃听 内容加密意味端对端的通信内容全都是文,中间人无法直接查看到明文,HTTPS 所有的应用层内容都是通过对称加密来实现加密和解密的。...Keyless密钥加载) 私钥的重要性 对证书稍微熟悉的朋友都知道,SSL 密钥和证书都是成对使用的,一个证书一定唯一对应一个私钥。...秘钥方式 虽然腾讯云的内网非常安全,但是出于对客户的安全负责,彻底打消用户对私钥泄露的顾 虑,确保用户对私钥的绝对控制,腾讯云提供一种无私钥的加载方案。...在涉及到私钥计算的时候,腾讯云 CLB 会将这个私钥计算请求通过加密的自定义协议,转发给用户自己的 keyless 服务器上。 keyless 服务调用用户的私钥完成计算。...整个过程,腾讯云接触不到 HTTPS 私钥,需要注意一点的,keyless server 是腾讯云提供一个服务端程序,代码开源,用户自主部署,服务端行为用户掌握得一清二楚。

    5.2K01

    记一次落地的经历

    完整性校验可以保证数据没有经过窃听者的篡改,但我们还要防止窃听者知道数据的内容,这就还需要加解密来帮助我们守住最后一道围墙而在私有云交付的环境中,我们无法用现有的公司平台加解密服务,并且按照国家、金融行业等要求,需要用算法实现的加解密方案存在哪些问题使用不便最大问题是使用不便...图片因此现阶段使用必须在业务层手动进行数据加解密,相当于对数据进行一步额外的操作。最佳实践确定业务层进行加解密后,应该使用哪一种密实现、该如何进行加解密是另一个难点,且暂不存在一个最优解。...的实现方案很多,包括TencentSM、GmSSL和KMS服务器,这也需要进一步的调研和测试来决定最终方案。落地过程落地分为调研、制定、实现与测试四个阶段。...调研阶段主要目的有两个:找到性能高效、使用便捷并且有足够保障(维护活跃度、大厂背书、有变现渠道保证不会暴死等)的算法实现调研公司内改造案例算法选择我们通过benchmarks测试评估多种库算法性能...,独立部署管理证书、私钥,分发公钥。

    1.3K22

    长安链发布自研P2P网络Liquid,先睹为快

    01 Java SDK支持通信 长安链ChainMaker通信包括节点间P2P通信、节点与Client端RPC通信两部分。...此前版本中,长安链ChainMaker实现了节点间的加密通信、节点与Golang SDK的加密通信,但尚未支持节点与其他语言SDK的加密通信,且目前业界没有Java端支持grpcs的成熟的开源实现...在新版本中在golang 1.14版本的TLS基础上重构了golang的TLS支持,用于节点间、节点与golang sdk间的通信;在OpenSSL-1.1.1l的基础上实现了对TLS的支持...,并重新编译netty-tcnative以使java sdk支持跨平台的通信,其他语言SDK也可采取类似的方式进行通信支持。...,权限控制体系仍与证书模式大体相同;public模式,用公私钥标识链上成员,权限控制较为松散。

    59110

    图解SSLTLS协议

    本周,CloudFlare宣布,开始提供Keyless服务,即你把网站放到它们的CDN上,不用提供自己的私钥,也能使用SSL加密链接。...二、私钥的作用 握手阶段有三点需要注意。 (1)生成对话密钥一共需要三个随机数。...(2)握手之后的对话使用"对话密钥"加密(对称加密),服务器的公钥和私钥只用于加密和解密"对话密钥"(非对称加密),其他作用。 (3)服务器公钥放在服务器的数字证书之中。...从上面第二点可知,整个对话过程中(握手阶段和其后的对话),服务器的公钥和私钥只需要用到一次。这就是CloudFlare能够提供Keyless服务的根本原因。...某些客户(比如银行)想要使用外部CDN,加快自家网站的访问速度,但是出于安全考虑,不能把私钥交给CDN服务商。这时,完全可以把私钥留在自家服务器,只用来解密对话密钥,其他步骤都让CDN服务商去完成。

    73650

    算法SM2加解密_签名验签图形化例子

    如果对你有帮助,麻烦点个在看或点个赞,感谢~ SM2概述 对算法有了解的朋友看到SM2可能会先想到非对称加密,之前的SM4是对称加密。...SM4加解密使用的是同一个秘钥,而SM2使用的是非对称加密——公钥和私钥。公钥加密私钥解密。...将密钥对中的私钥自己留存,在发送的消息中携带公钥;私钥32位、公钥64位,公钥前32字节称为X、后32字节称为Y,公钥存储方式分为压缩和非压缩。 签名和验签 主要为了防止消息被篡改,使用到了SM3。...从上到下依次是私钥、公钥、明文、文。 由于使用的算法是用C语言写的,所以需要和Qt所使用的类型做一些转换。 下面列一些使用到的接口: 私钥和公钥是自己填入的。

    1.4K20

    证书管理系统

    openssl证书CAPKI 证书管理系统 前言 这次向大家介绍一个开源项目,它可以快速的生成证书,满足测试或部署加密服务时遇到的证书需求。...该项目可以创建“客户端”和“服务器”证书,同时支持多种证书类型,包括:RSA、(SM2)和ECDSA。 并且可以快速的吊销证书,以及导出CA和CRL。...服务器 RSA 证书: certm-mkcert --server cert1 注意: 如果想生成 证书,使用参数--type sm2即可 如果想生成 ECDSA 证书,需要使用参数--type...ca-chain-gm.pem.crt:CA证书链,包含了根CA及中间CA证书 ca-chain.pem.crt:RSA和ECDSA证书的CA证书链,包含了根CA及中间CA证书 ca-gm.pem.crt...:根CA证书 ca.pem.crt:RSA和ECDSA证书的根CA证书 由certm-gencrl命令生成: gm-sub-ca.pem.crl:中间CA证书的CRL sub-ca.pem.crl

    8510

    SM 算法踩坑指南

    什么是算法? 就是一个口头上简称,官方名称是国家商用密码,使用拼音缩写 SM,它是用于商用的、不涉及国家秘密的密码技术。...而其实就是这些国际算法国产化的代替方案,与国际算法对应关系如下: 这次改造项目使用的就是 SM2 算法。...SM2 算法联调测试的时候,这一点比较头疼,下面讲下这次改造中碰到一些问题。...SM2 公私钥读取 SM2 如果用到数字签名,也用到加密的话,这个情况下我们就需要向 CA 机构,例如 CFCA,申请双证书。 CFCA 申请结果如下: SM2 双证书,分为签名证书,加密证书。...建议大家开发之前可以先了解一下 SM2 相关国标规范,不需要很深入了解整个原理,但是需要知道 SM2 与 RSA 的区别点。

    6.9K22

    即时通讯安全篇(十三):信创必学,一文读懂什么是算法

    ,一文读懂什么是算法》(* 本文)3、为什么需要算法?...3.2算法的特点算法具备如下特点:1)安全性高:算法采用了严密的密码学原理和复杂的运算方式,具有较高的安全性。...6.2数据加密在非对称加密算法中,可对外公布的密钥称为“公钥”,只有持有者所知的密钥称为“私钥”。发送者使用接收者的公钥来加密消息,接收者用自己的私钥解密和读取该消息。...利用SM2算法进行密钥协商的过程:1)会话双方生成自己的私钥(随机数);2)会话双方由私钥、ECC椭圆曲线参数G各自计算出公钥;3)会话双方将自己的公钥传递给对方,传递过程公开。...通过AD-WAN智能运维平台,实现配置一键下发,在网络中构建国数据加密通道,实现基于的端到端的IPsec隧道保护。

    2.1K10

    啥?双证书?

    标准对于SSL通信定义得不是很清楚,所能依仗的标准只有《GMT 0024-2014 SSL V** 技术规范》。在文档中提到,TLS需要有签名证书和加密证书。...在单证书配置下,服务器端的公钥和私钥由服务器负责保存。私钥需要特别保存,如果泄漏出去就会有很大的安全风险。客户端的公钥和私钥一般在通信过程中动态产生,客户端也不会存储。...配置双证书测试环境 TASSL 在《搭建国SSL开发测试环境》一文中,我介绍了GmSSL这个开源项目。在开发过程中,我也不断在搜寻资料,后来又发现另一个实现的开源项目TASSL。...编译TASSL 因为都是基于OpenSSL开发,其编译过程和GmSSL差不多,详细的步骤请参考我之前写的《搭建国SSL开发测试环境》。...小结 本文介绍了双证书的来头,随后介绍了一个新的开源实现TASSL,最后介绍了双证书的生成和测试环境配置。 如果大家有什么问题,欢迎交流。

    5.9K10

    GmSSL支持SM2SM3SM4SM9SSL国产商用密码开源库

    概述 GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等(国家商用密码)算法、SM2数字证书及基于SM2证书的SSL/TLS安全通信协议,支持硬件密码设备,提供符合规范的编程接口与命令行工具...,可以用于构建PKI/CA、安全通信、数据加密等符合标准的安全应用。...主要特性 超轻量:GmSSL 3 大幅度降低了内存需求和二进制代码体积,不依赖动态内存,可以用于操作系统的低功耗嵌入式环境(MCU、SOC等),开发者也可以更容易地将算法和SSL协议嵌入到现有的项目中...更合规:GmSSL 3 可以配置为仅包含算法和协议(TLCP协议),依赖GmSSL 的密码应用更容易满足密码产品型号检测的要求,避免由于混杂非算法、不安全算法等导致的安全问题和合规问题。...支持Java、Go、PHP等多语言接口绑定和REST服务接口 算法 算法是国家商用密码算法的简称。

    55010

    写给开发人员的实用密码学 - 数字签名

    具体做法是,私钥拥有者使用密钥签署一条消息,然后发送给任意的接收方,接收方只要拥有私钥对应的公钥,就能成功反解签署消息。...数字签名算法 数字签名算法在《GM/T 0003.2-2012 SM2椭圆曲线公钥密码算法第2部分:数字签名算法》这份文档中有详细的描述。... SM2 算法虽然也是一种椭圆曲线算法,但其签名流程和 ECDSA 有些不同,这点在实现时需要注意。...可以看出,签名算法对消息进行了处理,然后才计算摘要。其中 ZA 的计算涉及到命名曲线参数的a、b、G、P(公钥)。...数字签名示例 生成 SM2 私钥 $ gmssl sm2 -genkey -out sm2.pem Using configuration from /data/gmbrowser/usr/local

    76730

    SSL协议之Tomcat集成

    1 背景 Tomcat自身支持标准的SSL协议,但并不支持SSL协议。本文描述了Tomcat配置的SSL协议(单向)的完整过程,仅供学习和参考之用。...浏览器是360安全浏览器(支持)。 3 双证书 1) 生成双证书 访问https://www.gmssl.cn,可生成免费的测试双证书。.../私钥文件,默认口令是12345678。...6 小结 通过使用SSL组件,使得Tomcat自身不做任何编译修改,即可比较简单的支持SSL协议,满足等保等政策合规,确实是一个简单可操作的方法。...www.gmssl.cn提供了全部免费的测试组件,并且支持双向SSL,支持SSL/标准 SSL自适应,也支持Nginx和Apache,值得推荐和试用。

    3K51

    详解SM2的数字签名

    在《解读非对称加密算法SM2》一文中,我讲到过非对称加密算法的用途之一就是数字签名。本文就来聊一聊SM2的数字签名算法。...在《解读非对称加密算法SM2》一文中,我们已经知道,对于椭圆曲线密码算法而言,最重要的是选择一条命名曲线,包括几个重要的参数:p、a、b、G(x,y)和n。...在《详解SM2的加密和解密》一文中,我们已经谈过密钥对的生成,这里再重复一下: 选择一个随机数作为私钥d, 1 < d < n -1 基于私钥生成公钥,P(x, y) = d * G(x, y) 签名生成...SM2签名流程 从中我们可以看到和标准ECDSA的流程有几点不同: 对消息的处理不同,签名算法对消息进行了处理,然后才计算摘要。...其中 ZA 的计算涉及到命名曲线参数的a、b、G、P A5、A6的运算和ECDSA的第3、4步不一样 签名过程中,如果出现不合法的值,需要返回到A3步,重新生成随机数,直到值合法。

    11.5K20

    03 | 密码学基础:如何让你的密码变得“不可见”?

    我们常见的经典对称加密算法有 DES、IDEA、AES、 SM1 和 SM4。下面我们一起来具体看看。...具体的加解密过程就是,发送方使用公钥对信息进行加密,接收方收到文后,使用私钥进行解密。具体我也画了一张图,你可以和上面的对称加密算法的图一起对照着看一下。...这也就是说,我们可以使用私钥加密,公钥解密。一旦接收方通过公钥成功解密,我们就能够证明发送方拥有对应的私钥,也就能证实发送方的身份,也就是说,私钥加密就是我们说的签名。...最后一种是 SM2(SM2 Cryptographic Algorithm)。 算法 SM2 也是基于椭圆曲线问题设计的,属于国家标准,算法公开,加密强度和国际标准的 ECC 相当。...第 3 种是 SM3(SM3 Cryptographic Algorithm)。 算法 SM3 是一种散列算法。其属于国家标准,算法公开,加密强度和国际标准的 SHA-256 相当。

    90610
    领券